Le PDG de HackenProof plonge dans Web3 Tendances en matière de sécurité, efficacité du programme Bug Bounty et rôle croissant de l'IA dans la cybersé

Chef de la direction de HackenPreuve , Dmytro Matviiv a parlé à la Conférence Hack Seasons à Cannes le 3 juillet sur les tendances en Web3 la sécurité, l’évolution du paysage des menaces et le rôle de l’IA dans la cybersécurité.

HackenProof collabore activement avec plusieurs protocoles de couche 1 et 2, tels que la Fondation Ethereum, Sui, Aptos, Near, ainsi qu'avec des plateformes d'échange de cryptomonnaies, dont Bybit et Gate, entre autres. L'entreprise mobilise la communauté de la sécurité pour identifier les vulnérabilités et, après validation des rapports soumis, rémunère les chercheurs en sécurité en conséquence. Ce processus s'appuie sur un modèle de sécurité participatif et de prime aux bugs.

Évolution du paysage de la cybersécurité : complexité croissante des attaques, efficacité des programmes de primes aux bugs et défis de sécurité dans les écosystèmes émergents

Selon Dmytro Matviiv, HackenProof mène des recherches internes en continu et publie des rapports trimestriels afin de suivre les tendances en matière de cybersécurité. Ces deux dernières années, le nombre de piratages signalés a diminué, mais la complexité de ces incidents a augmenté. Rien qu'au cours du trimestre en cours, plus de 2 milliards de dollars ont été détournés par diverses attaques. Nombre de ces incidents semblent prémédités, certains individus ayant potentiellement travaillé au sein d'organisations pendant de longues périodes avant de se cacher derrière des portes dérobées et de lancer des attaques coordonnées. Une tendance notable est l'implication d'acteurs soutenus par des États, notamment nord-coréens, ce qui pose des problèmes en matière de répression et d'extradition, même lorsque l'identité des auteurs est connue.

Cependant, de nombreuses entreprises proposent des programmes de primes aux bugs compétitifs. Pour les acteurs malveillants, il peut être plus avantageux de signaler les vulnérabilités par les canaux officiels et de recevoir une compensation légale – s'élevant parfois à des centaines de milliers, voire des millions de dollars – plutôt que d'exploiter ces vulnérabilités, estime Dmytro Matviiv. À l'inverse, des structures de primes inadéquates peuvent décourager une divulgation responsable. Par exemple, dans une affaire impliquant Bybit, le montant maximal de la prime pour une vulnérabilité critique sur le site web de l'entreprise a été fixé à 4,000 1.3 dollars. Un chercheur a exploité une vulnérabilité et a causé une perte de 10 milliard de dollars. Cela soulève l'argument selon lequel offrir une prime équivalant à XNUMX % des dommages potentiels pourrait constituer une mesure préventive plus efficace.

« Donc, si une entreprise décide de légaliser le processus de prime aux bugs, les entreprises et les chercheurs soumettront certainement des rapports pour aider à découvrir ces vulnérabilités », a souligné Dmytro Matviiv. 

Récemment, un autre incident de sécurité s'est produit concernant le protocole Cetus, qui opère au sein de l'écosystème Sui. Les observations indiquent que l'écosystème Sui continue de rencontrer divers problèmes de sécurité, en partie en raison de son développement rapide et de son activité croissante. L'écosystème dispose d'une équipe nombreuse et impliquée et a démontré un engagement fort en matière de sécurité par le biais de programmes de bug bounty, de concours et d'audits fréquents. Malgré la récente faille, Cetus poursuit une nouvelle initiative de bug bounty en collaboration avec HackenProof, prévue pour la semaine prochaine. Globalement, l'écosystème Sui reste actif et réactif dans la correction des vulnérabilités.

Je pense que Sui est un écosystème encore relativement jeune. Il utilise un nouveau langage combinant Move et Rust, et il contient beaucoup de code potentiellement risqué, potentiellement vulnérable. C'est pourquoi il rencontre actuellement de nombreux problèmes. Cependant, c'est un écosystème très prometteur, et de nombreux utilisateurs achètent même leurs jetons. Nous pensons que cet écosystème va defi« amener définitivement la sécurité à un niveau supérieur. »

Intégration des agents d'IA dans la cybersécurité : améliorer l'automatisation tout en gérant les risques

L'IA et la décentralisation sont actuellement des sujets largement débattus dans les secteurs de la technologie et de la cybersécurité. HackenProof s'investit activement dans ces développements dans le cadre de ses activités. 

Dans certains cas, les auditeurs de sécurité créent des agents d'IA pour effectuer des tâches traditionnellement gérées par des humains, comme l'identification de problèmes de sécurité sur diverses plateformes de bug bounty. HackenProof accompagne ces entreprises de sécurité en les aidant à valider les rapports générés par ces agents d'IA.

« Par exemple, ces agents d’IA peuvent scanner un référentiel et générer 200 rapports, et nous les validons pour déterminer si chaque rapport est valide », a illustré Dmytro Matviiv.

Un autre exemple est l'utilisation d'agents d'IA pour aider à détecter et organiser les rapports entrants soumis à HackenProof. Ces agents d'IA contribuent à l'automatisation des processus ; cependant, la qualité et la fiabilité des résultats dépendent fortement de l'exactitude des données d'entrée.

« Imaginons que vous fassiez entièrement confiance à l'agent d'IA et que quelqu'un saisisse des données incorrectes. Cela pourrait déclencher une action : par exemple, l'agent d'IA pourrait transférer de l'argent d'un compte à un autre, etc. C'est donc très dangereux », a noté Dmytro Matviiv. « Il faut isoler l'environnement d'IA et travailler uniquement sur les cas précis que vous comprenez, et s'assurer que l'agent d'IA a été publiquement vérifié comme étant fiable », a-t-il ajouté. 

L'année dernière a été marquée par d'importants investissements dans le développement de l'IA, notamment l'émergence de protocoles d'IA de couche 1. Aujourd'hui, l'IA est devenue un élément clé pour de nombreuses entreprises, et celles qui n'intègrent pas le développement de l'IA à leurs processus risquent de perdre leur pertinence sur le marché ou des opportunités commerciales d'ici six mois, voire plus.

« L'IA doit absolument faire partie de vos processus métier et, au minimum, vous aider à comprendre les opportunités commerciales que vous pourriez manquer. L'IA risque également de devenir l'une des plus grandes menaces pour la sécurité de toute entreprise », a conclu Dmytro Matviiv.